Strenge Anforderungen an die Cybersicherheit

Der Entwurf des Cyber Resilience Act

Foto: © Esfandjar _AdobeStock

Die Eu­ropäische Union setzt ihre Di­gi­tal-Of­fen­sive fort und möchte mit dem Ent­wurf des Cy­ber Re­si­li­ence Act neue Min­dest­stan­dards bei der Cy­ber­si­cher­heit von Pro­duk­ten set­zen. Für Her­stel­ler, Im­por­teure und Händ­ler von „Pro­duk­ten mit di­gi­ta­len Ele­men­ten“ be­deu­tet dies um­fang­rei­che neue Pflich­ten, die frühzei­tig adres­siert wer­den soll­ten.

Im Herbst 2022 hat die Eu­ropäische Kom­mis­sion ih­ren „Vor­schlag für eine Ver­ord­nung über ho­ri­zon­tale An­for­de­run­gen an die Cy­ber­si­cher­heit von Pro­duk­ten mit di­gi­ta­len Ele­men­ten“, den Cy­ber Re­si­li­ence Act, veröff­ent­licht. Erklärtes Ziel ist es, der zu­neh­men­den Zahl von Cy­ber­at­ta­cken auf Hard- und Soft­ware­pro­dukte zu be­geg­nen. Bis­lang be­steht in Sa­chen Cy­ber­si­cher­heit ein ge­setz­li­cher Fli­cken­tep­pich aus EU-Vor­schrif­ten so­wie na­tio­na­len Ge­set­zen, die sich wie­derum von Bran­che zu Bran­che un­ter­schei­den. Der Cy­ber Re­si­li­ence Act soll nun einen ein­heit­li­chen Min­dest­stan­dard in Sa­chen Cy­ber­si­cher­heit für na­hezu alle Bran­chen schaf­fen, ohne sek­tor­spe­zi­fi­sche Re­ge­lun­gen zu verdrängen. Und die­ser Ent­wurf hat es in sich.

Pflichtenkatalog für Produkte mit digitalen Elementen

Der Ent­wurf des Cy­ber Re­si­li­ence Act er­fasst alle „Pro­dukte mit di­gi­ta­len Ele­men­ten“, das heißt sämt­li­che Pro­dukte, die be­stim­mungs­gemäß oder vernünf­ti­ger­weise vor­her­seh­bar dazu be­nutzt wer­den können, eine Da­ten­ver­bin­dung zu einem Gerät oder einem Netz­werk auf­zu­bauen. Da­mit dürfte jede Soft­ware, je­des „smarte“ und je­des mit einem PC oder Smart­phone an­steu­er­bare Pro­dukt von den neuen An­for­de­run­gen be­trof­fen sein. Her­stel­ler, Im­por­teure und Händ­ler, die Pro­dukte mit di­gi­ta­len Ele­men­ten in der EU auf den Markt brin­gen, müssen künf­tig einen um­fang­rei­chen Pflich­ten­ka­ta­log im Be­reich der Cy­ber­si­cher­heit um­set­zen.

Be­gin­nend mit dem Pro­dukt­ent­wick­lungs­pro­zess bis zu fünf Jahre nach Markt­einführung sind die Her­stel­ler ver­pflich­tet, ver­schie­dene Maßnah­men für ein an­ge­mes­se­nes Cy­ber­se­cu­rity-Ni­veau der Pro­dukte um­zu­set­zen. Bei neuen Pro­duk­ten müssen si­cher­heits­re­le­vante Ein­stel­lun­gen vor­kon­fi­gu­riert sein („Cy­ber­se­cu­rity by de­fault”). Nach dem In­ver­kehr­brin­gen des Pro­dukts hat der Her­stel­ler für ma­xi­mal fünf Jahre si­cher­zu­stel­len, dass die­ses wei­ter­hin den Si­cher­heits­an­for­de­run­gen des Cy­ber Re­si­li­ence Act ge­recht wird; da­mit führt die EU eine ge­setz­li­che Pflicht ein, dass Si­cher­heitslücken in die­sem Zeit­raum durch Up­dates be­ho­ben oder die Pro­dukte zurück­ge­ru­fen wer­den müssen. Wei­ter­hin müssen die Her­stel­ler bei­spiels­weise um­fas­sende Ri­si­ko­be­wer­tun­gen vor­neh­men, Pro­zesse zum Er­ken­nen von IT-Schwach­stel­len ein­rich­ten, tech­ni­sche Do­ku­men­ta­tio­nen er­stel­len (u. a. „Soft­ware bill of ma­te­ri­als“) und si­cher­heits­re­le­vante Zwi­schenfälle an Behörden und Be­trof­fene mel­den. Noch wei­ter­ge­hende Pflich­ten tref­fen Her­stel­ler von kri­ti­schen oder hoch­kri­ti­schen Pro­duk­ten mit di­gi­ta­len Ele­men­ten. Zu die­sen zählen etwa Pass­wort­ma­na­ger, Fire­walls, Mi­cro­pro­zes­so­ren oder Be­triebs­sys­teme. Hier gel­ten ge­stei­gerte An­for­de­run­gen für die Ri­si­ko­be­wer­tungs­pro­zesse, bis hin zur Durchführung die­ser Prüfun­gen durch un­abhängige Dritte. Da­mit sol­len ei­ner­seits die Ge­fah­ren für sol­che kri­ti­schen An­wen­dun­gen re­du­ziert wer­den und durch die Trans­pa­renz auch für zusätz­li­che Si­cher­heit ge­sorgt wer­den, wel­che Pro­dukte von ver­trau­enswürdi­gen An­bie­tern stam­men.

Cyber Resilience Act derzeit noch im Gesetzgebungsverfahren

Die Im­por­teure und Händ­ler ha­ben in ers­ter Li­nie si­cher­zu­stel­len, dass die von ih­nen im­por­tier­ten beziehungsweise ver­mark­te­ten Pro­dukte die An­for­de­run­gen des Cy­ber Re­si­li­ence Act erfüllen, die er­for­der­li­che Do­ku­men­ta­tion be­reit­liegt und die Pro­dukte ent­spre­chend ge­kenn­zeich­net sind. Wenn Im­por­teure oder Händ­ler ein Pro­dukt mit di­gi­ta­len Ele­men­ten aber un­ter ih­rem ei­ge­nen Na­men, un­ter ih­rer ei­ge­nen Marke oder mit er­heb­li­chen Verände­run­gen auf dem EU-Markt in den Ver­kehr brin­gen, gel­ten sie als Her­stel­ler und un­ter­lie­gen den Pflich­ten des Her­stel­lers.

Verstöße ge­gen den Cy­ber Re­si­li­ence Act können mit emp­find­li­chen Bußgel­dern be­legt wer­den, die bis zu 15 Mio. Euro oder 2,5 % des welt­wei­ten Um­sat­zes des vor­an­ge­gan­ge­nen Ge­schäfts­jahrs um­fas­sen können. Die Markt­auf­sicht­behörden sind zu­dem be­fugt, ge­eig­nete Ab­hil­femaßnah­men oder Pro­duktrück­rufe an­ord­nen.

Der Cy­ber Re­si­li­ence Act be­fin­det sich der­zeit noch im Ge­setz­ge­bungs­ver­fah­ren. Der Ent­wurf wurde weit­hin begrüßt, wenn­gleich in ei­ni­gen Punk­ten Nach­bes­se­rungs­be­darf an­ge­mahnt wurde. Eine Ver­ab­schie­dung könnte noch im Jahr 2023 er­fol­gen. Als Ver­ord­nung ist der Cy­ber Re­si­li­ence Act di­rekt in al­len EU-Mit­glied­staa­ten an­wend­bar. Den Un­ter­neh­men wer­den nach der Veröff­ent­li­chung der Ver­ord­nung im Amts­blatt der Eu­ropäischen Union 24 Mo­nate für die Um­set­zung der er­for­der­li­chen Maßnah­men blei­ben.

Hin­weis: Auch wenn noch Ände­run­gen bis zum fi­na­len Stand der Ver­ord­nung zu er­war­ten sind, wird der Cy­ber Re­si­li­ence Act tief­grei­fende An­pas­sun­gen bei zahl­rei­chen Un­ter­neh­men er­for­dern. Ne­ben der Im­ple­men­tie­rung neuer Pro­zesse und der Er­stel­lung von Do­ku­men­ta­tio­nen dürfte auch die An­pas­sung be­ste­hen­der Ver­trags­be­zie­hun­gen ge­bo­ten sein, um die Um­set­zung der Pflich­ten aus dem Cy­ber Re­si­li­ence Act in der Supply Chain si­cher­zu­stel­len. In Ex­tremfällen könn­ten Un­ter­neh­men so­gar ge­zwun­gen sein, die ge­samte Hard- oder Soft­ware­ar­chi­tek­tur ih­rer Pro­dukte zu über­ar­bei­ten. Wir emp­feh­len da­her, be­reits jetzt den An­pas­sungs­be­darf zu eva­lu­ie­ren und den wei­te­ren Ge­setz­ge­bungs­pro­zess eng zu ver­fol­gen.

Autorenprofil
Laurent Meister

Laurent Meister, LL.M. (Suffolk University, Boston) ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei RSM Ebner Stolz in Stuttgart. Seine Tätigkeitsschwerpunkte liegen in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen.  Ein besonderer Schwerpunkt ist dabei in der umfassenden vertrags- und datenschutzrechtlichen Beratung von Unternehmen bei Digitalisierungsprojekten, etwa im Bereich IoT. Darüber hinaus berät er umfassend in allen Fragen des Datenschutzes und begleitet Unternehmen bei Verfahren vor den Aufsichtsbehörden und datenschutzrechtlichen Auseinandersetzungen mit Betroffenen.

Vorheriger ArtikelGreen Finance – Klimaschutz mit Rendite
Nächster ArtikelMehrheit der Familienunternehmen setzt sich Klimaziele